В Минцифры прошло совещание, посвященное разработке поправок к Кодексу об административных правонарушениях, устанавливающих размеры штрафов за утечку персональных данных в зависимости от оборота компании, ее допустившей. На встрече присутствовали представители «Ростелекома», МТС, «Авито», «Яндекса», Ozon, «Вымпелкома», VK и других компаний. Министерство еще в мае согласовало законопроект, предполагающий введение штрафа в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке Роскомнадзору. Госдума 6 июня приняла в третьем чтении поправки к закону «О персональных данных», которые вводят обязанность для всех организаций сообщать Роскомнадзору об утечках личной информации граждан. Согласно документу, бизнес должен уведомлять Роскомнадзор об утечке в течение 24 часов после ее обнаружения, а в течение 72 часов предоставить результаты расследования и информацию о виновных.
Министерство также согласилось уменьшить размер штрафа за утечку ниже 1% от оборота, однако этот вопрос еще обсуждается. Также речь шла о возможности снизить штраф за утаивание от Роскомнадзора факта утечки, говорят источники. Минцифры поручило бизнесу под руководством «Ростелекома» и VK в течение двух недель разработать предложения по поправкам к законопроекту. В самом министерстве не предоставили комментарий. В «Ростелекоме», МТС, «Авито», «Яндексе», Ozon, «Вымпелкоме» и VK отказались обсуждать ситуацию. Представители бизнеса на совещании предложили трехступенчатую систему наказания за утечки, рассказал источник, знакомый с деталями встречи: «Если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение. В случае повторной компрометации — заплатить крупный штраф. Если же компания допустила утечку в третий раз — получить оборотный штраф».
Добавить 9 комментариев
Сложно не заметить, что проблема в текущем подходе с регуляцией утечек заключается в том, что при наложении финансовых штрафов, при их получении они будут накладываться на клиентов бизнеса. Например, если оштрафовать "Яндекс.Еду", то этот штраф в будущем, в итоге, выплатят потребители, а не сам "Яндекс". Как говорится, "проблема, которая решается деньгами — это не проблема".
Поэтому штрафовать компании надо не деньгами, а временем. Например: запрещать регистрацию новых пользователей в сервисах, пока компания не представит отчёт о том, какие меры по предотвращению дальнейших инцидентов приняты. Или даже запрет на ведение деятельности на несколько месяцев.
И тогда к утечкам будут относиться куда как серьёзнее, а не в стиле "чо там? Штраф? Ну отнесите в бухгалтерию, пусть оплатят"
Ну вот, Минцифры шлёт объяснение того, что оно имело в виду.
И снова — штрафы только финансовые, что, в очередной раз скажу, по компаниям никак не бьёт
Их (или их страхование) просто заложат в бизнес-модель, какую-то сумму потратят на инфобез и перестанут об этом думать как о чём-то важном. Проблема ведь решена
Москва, 12 июля 2022 года — По итогам обсуждений с отраслью Минцифры готовит изменения в законопроект об оборотных штрафах за утечки персональных данных. Министерство настаивает на усилении ответственности операторов персональных данных и при этом считает необходимым прояснить важные детали.
Основные изменения
Будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные.
Будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте.
Штрафы будут применяться в два этапа. За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф.
Для оборотных штрафов будут установлены границы («от» и «до» какого процента от выручки можно будет взыскать). Будут учитываться смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным.
Будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности. Возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований.
Позиция Минцифры
Минцифры настаивает на усилении ответственности за утечки персональных данных. Это серьезная проблема, для решения которой не хватает существующей регуляторики. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством, и в итоге причиняют еще больший ущерб гражданам.
Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей. Сейчас вопрос нарушений законодательства в области персональных данных регулируется статьей 13.11 Административного кодекса. Максимальное наказание, установленное в ней, предполагает штраф в 500 тыс. рублей для юридических лиц. Оборотные штрафы, на введении которых настаивает Минцифры, будут исчисляться в процентах от выручки компаний. Так, оборотный штраф в 1% для компании с выручкой в 100 млрд руб. составит 1 млрд руб.
Реальный уровень защиты, действующий в компаниях, сейчас определить сложно. Для этого Минцифры предлагает ввести механизм аккредитации и страхования, с помощью которого можно будет регулярно подтверждать соответствие компаний всем требованиям по уровню безопасности.
Важно определить, куда будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с «Агенством по страхованию вкладов», выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
Тут дело даже не в том, что компания переложит штраф на клиентов. А в том, что воровать данные будут, как и сейчас, сисадмины, разработчики, ИТ-директора.
Их любой штраф на компанию — не волнует. Украл, продал, уволился, пошёл работать из Сбербанка в Ростелеком или наоборот. И всё.
Штрафы должны как бы повлиять на руководство и собственников — но у них по сути нет средств контроля за теми, кто ворует. Они в "технологиях" не понимают.
И нет особой мотивации что-то менять. 1%, которые они продавливают — это вообще ни о чём. Ниже цены деления на шкале маржи.
На самом деле повлиять могут только реальные показательные процессы и посадки. Причём процессы нужны не только над вороватыми сисадминами и айтишниками, но и над руководством — по статье УК "Халатность".
Из перечисленных выше компаний — каждая вторая контролируется государством, и статья о халатности должностного лица к их руководству — применима.
Сейчас же банки и телекомы скрывают факты утечек, и уж тем более скрывают факты судебных дел; в результате сисадмин в соседнем здании думает "так за это же никого ещё не наказали, а если и наказали, то криворуких идиотов; я-то всё сделаю аккуратно".
P.S. Вот это вообще издёвка:
"регулярно подтверждать соответствие компаний всем требованиям по уровню безопасности"
А вот когда за прошедщие 3-4 года украли десятки миллионов ФИО и телефонных номеров и потом украли миллиарды рублей у пенсионеров — системы банков и телекомов "соответствовали"? Да конечно, соответствовали, все бумажки есть.
Хорошего же вы мнения о коллегах ;0)
Ну, эти мне не коллеги. Это люди невысокого ума и низких моральных норм, у которых чувство всемогущества и вседозволенности от того, что вокруг всякие лохи, не понимающие в ИТ. С которыми можно делать что угодно — они же лохи, их не жалко.
Это чувство того, что сейчас всё можно — быстро развивается. Средний менеджер в мобильном операторе вообще не понимает, "а чо такова", когда берёт данные в телекоме на людей, потом продаёт их вместе с перемещениями и поисковыми запросами каким-то клиентам — причём даже не налево, а официально.
Когда в системе есть уязвимость и о ней знают все сотрудники — найдется какой-то вася из соседнего отдела, который сольет или уволится и сам воспользуется. Найти его потом и, тем более, доказать, что он причастен, будет невозможно.
"Показательные" посадки никогда ничего не меняли. Они могут породить страх у большинства, а жуликов не остановят.
Наказывать запретами на бизнес или регистрацию пользователей — это еще больший бардак. Может для начала штрафы опопробовать? 60 тыс рублей для яндекса — это не штраф, это анекдот.
Решить этот вопрос несложно. Просто эта проболема пока никого не тревожит. Мы 3-4 года наблюдали как с одно стороны банки трясут мелкий бизнес по 115 фз, с другой весь народ терроризирует "служба безорасности Сбербанка". По той же причине. У них там эта не актуальная проблема, и ей не занимаются.
У Яндекса утекли 6 миллионов записей. Оштрафовали на 60 тысяч рублей.
Сто граждан России — один рубль. Одна запись ПДн гражданина РФ — 1 копейка.
"На самом деле повлиять могут только реальные показательные процессы и посадки. " — насколько бы чудовищно не звучало — но это так и есть :(
Если посмотреть на юридическую практику по GDPR в Гейропе — то тут засчет неотвратимости наказания и его жесткости затрахали всех так — что даже малый бизнес в булочной все выполняет до буквы. Порой даже смешно. А недавно посмотрел как выполняет Eurosport требования GDPR (тур Де Франс смотреть взял подписку) — аж тошно стало. До буквы. Даже делает внутренню выгрзку из базы по всем GDPR event-ам чтобы если чо в суде её предъявить требовательному пользователю типа меня
Но тут опять дилема — попробуй кровавую рукою к порядку всех призывать — леберастня вой подЫмет.
ЗЫ — я вот в прошлом году поменял паспорт и вообще нигде кроме нотариуса и банка его не показывал :) — пока нигде не всплыл. Старые документы и все что к ним относится звенят за 3 копейки приблизительно везде :) Это конечно беда. Убеждал тут товарища аккуратнее относится к перс данным — он рассмеялся и прислал мне все что есть про меня. Это конечно ужас ужас ужас :) — про много я даже уже забыл — но как в том анекдоте — "Але ? Это ФСБ ? У меня последний коммит слетел — можете копию прислать ?" — только беда что не ФСБ и доступно кому угодно.
ЗЫ2 — Вот бы Игоря Станиславовича — да в опричники. Рука у него точная и совесть чистая. Вырезал бы скверны многая по Рассее матушке.
Вы говорите, надо показательно садить. Потом приводите в пример GDPR, потому что его выполняют. Логики тут нет, потому что из второго не вытекает первое. Когда за GDPR кого-то показательно посадили? Когда в истории вообще "показательные посадки" что-то решали? Впадать в крайность от легко, когда совок из башки не вывестрился.
Закон вообще по природе и по значению не подразумевает показательность и избирательность. Когда вы создаете неоднозначный закон или показательно его исполняете — вы дискредитируете вообще все право, и вредите намного больше.